サイバー犯罪グループMuddled Libra(別名Scattered Spider、UNC3944)。この不正VMの内容と攻撃からの活動は、この脅威アクターの作戦プレイブックに関する貴重な洞察を提供します。
この単一のVMは攻撃者の橋頭堡として機能し、グループがどのように偵察を実施し、認証情報を盗み、主に正規のツールを使用して横方向に移動するかについて、詳細なステップバイステップのビューを明らかにしました。
Muddled Libraは、組織およびそのアウトソーシングされたコールセンター、BPO、MSPへの初期アクセスを得るために、スミッシングやビッシングを含む積極的なソーシャルエンジニアリングで知られる金銭的動機を持つ脅威グループです。
マルウェアに大きく依存するのではなく、人々を操作し、IDワークフローを悪用し、組織自身のインフラストラクチャを攻撃プラットフォームに変えることに焦点を当てています。
2025年9月のインシデント対応中、アナリストは被害者のVMware vSphere環境内で不正仮想マシンを発見しました。
過去の調査では、従業員になりすましてパスワードとMFAをリセットし、1つのアカウントが侵害されると内部システム全体に迅速にピボットすることに慣れていることが示されています。
不正VMがどのように使用されたか
アクセスを取得してから約2時間後、攻撃者は被害者のvSphereポータルにログインし、単に「New Virtual Machine」という名前のVMを作成し、ローカルAdministratorアカウントを主要な足がかりとして使用しました。
このVMから、環境から盗まれた証明書をダウンロードし、それらを使用してチケットを偽造し、正規に見えるようにしながらネットワーク内を移動するのを支援しました。
数分以内に、攻撃者が制御するAWS S3バケットでホストされているgoon.zipアーカイブで配信されたChiselツールを使用してSSHトンネルで永続性を確立し、TCPポート443経由で約15時間C2接続を維持しました。
グループはその後Active Directoryに目を向け、vSphere経由で2つの仮想化されたドメインコントローラーをシャットダウンし、仮想ディスクをマウントしてNTDS.ditデータベースとSYSTEMレジストリハイブを不正VMにコピーできるようにしました。
数分後、resultとresult.kerbという名前の復号化された認証情報ファイルがAdministratorデスクトップに表示され、環境内のユーザーのNTLMおよびKerberosハッシュが含まれていました。
約30分の時点で、攻撃者はADReconを実行し、後にADExplorer64をダウンロードし、ドメイン、信頼関係、サイト、パスワードポリシー、DC、SPN、ユーザー、GPOに関する詳細情報を抽出し、出力を被害者の名前が付けられたZIPファイルにパッケージ化しました。
ADReconの結果内で、攻撃者はComputerSPNs.csvに焦点を当て、より深いアクセスやデータ盗難をサポートできるVeeam、ターミナルサービス、Hyper-V、MSSQL、Exchangeなどの重要なサービスを探しました。
その後、NAICSコード検索を使用して被害者のビジネスプロファイルをオンラインで調査し、データ流出に最も価値があるデータを理解しようとした可能性があります。
Muddled Libraに所属する脅威アクターは、従業員になりすましてパスワードおよび多要素認証(MFA)のリセットを試みることで、人間の心理を悪用することに非常に熟練しています。
これらの検索から約30分後、グループはターゲットのSnowflake環境から不正VMへ大規模なデータセットを引き出し始め、企業のコントロールによってブロックされていない外部ファイル共有プラットフォームにデータをアップロードする方法を実験しました。
環境寄生型攻撃とトラブルシューティング
ブロックされていないデータ流出パスを見つけるために、攻撃者はBingで「upload files」および「upload files no registration」を検索し、VMからupload[.]ee、filetransfer[.]io、filebin[.]io、Dropboxなどのサイトを調査しました。
脅威アクターは、エンドポイント検出・応答(EDR)または拡張検出・応答(XDR)などのエンドポイントツールからの検出を回避するために、ターゲット環境内にVMを作成します。
しかし、このケースは、防御者が従来のエンドポイントだけでなく、VMware vSphere、ESXi、Snowflakeのアクティビティを監視し、異常なVM作成、DCシャットダウン、大量のADまたはデータベースアクセスに注意を払う必要がある理由も示しています。
その後、SSHトンネル、RDP、PsExec(Microsoft Sysinternalsから直接ダウンロード)を使用して横方向の移動を拡大し、追加のアカウントを侵害しました。
ある時点で、Microsoftから古いOutlookインストーラーをダウンロードしようとし、fast[.]comでスピードテストを使用して遅いメールボックスのダウンロードをトラブルシュートし、最終的にS3 Browserクライアントを使用してメールデータを攻撃者が制御するS3バケットにアップロードするPSTファイルを流出させようとしました。
不正VM上でも、Microsoft DefenderはChisel、ADRecon、GoSecretsDumpを含む攻撃者が使用したいくつかのツールにフラグを立て、エンドポイント保護が仮想化環境内でも依然として価値を提供できることを示しています。
組織は、ID中心のコントロール、厳格な管理者アクセス、および環境寄生型の動作の検出により防御を強化できます。また、Palo Alto NetworksのAdvanced WildFire、Cortex Cloud、Cortex XDR、XSIAMなどの多層ソリューションは、Muddled Libraのようなグループに関連する悪意のあるツール、異常なクラウド操作、疑わしいトンネリングパターンの検出に役立ちます。
翻訳元: https://gbhackers.com/muddled-libra/
